基于PSPA架构的安全网关系统及设备的制作方法

基于pspa架构的安全网关系统及设备
技术领域
1.本技术涉及网关数据安全技术领域，特别是涉及一种基于pspa架构的安全网关系统及设备。


背景技术：

2.随着物联网技术、工业互联网等技术的发展，当前数字经济已经成为世界各国经济增长的重要来源，当前数据在采集、存储、传输、处理、交换、销毁的数据生存周期中，存在功能性、可靠性、安全性、性能、易用性等风险。在数据生存周期的数据采集与传输阶段，数据网关起着重要的作用。
3.目前，在数据产生的末端，各类数据都是通过嵌入式终端采集。由于不同行业的嵌入式终端的数据接口，数据协议各不相同，为此这些数据都需要网关设备来汇聚和转发传感器和设备的数据。数据要素源头的安全对整条链路的数据安全起着至关重要的作用。作为数据要素源头，起汇聚和转化作的网关的安全在数据整个生命周期中有着举足轻重的意义。
4.现有数据网关在安全防护方面多半基于软件层面，通过各种鉴权、公私密钥交换验证、vpn隧道加密码传输等方法实现数据网关的数据安全。相对而言有以下缺点：
5.(1)现有的数据网关安全基于国外芯片搭建，并在国外芯片提供的各类固件的基础上实现网关的安全防护，但是，国外芯片及国外固件本身就存在一定的安全风险，并不可性。基于该固件之上的所有其它防护存在很大的安全风险。有可能会遭受漏洞和攻击，导致数据在源端受到威胁。
6.(2)现有的网关安全启动基本上只基于一级可信安全认证，并不能通过可信根对二级引导进行安全防护，从而实现二级引导对操作系统的可信启动。
7.(3)现有网关在软件执行环境方面，只对软件的身份和安全性进行了主动防御，对运行的业务应用本身进行安全认证，但并末对运行的数据和敏感数据进行隔离，只能实现被动防御而末实现主动免疫。
8.(4)现有安全网关对于终端接入，只对端口的安全性和端口的数据进行验证，但并末系统性的实现数据的采集、处理、存储、传输等各环节安全，整体安全防护程序不够高，不成体系。


技术实现要素：

9.基于此，有必要针对上述技术问题，提供一种至少能够解决上述一个问题的基于pspa架构的安全网关系统及设备。
10.一种基于pspa架构的安全网关系统包括：安全引导子系统、端口驱动安全子系统、协议安全认证子系统、数据存储安全子系统、密钥管理子系统、系统安全认证子系统、应用调度子系统、协议可信应用ta以及系统管理可信应用ta；
11.所述安全引导子系统，用于保证所述安全网关系统的安全启动；
12.根据所述端口驱动安全子系统、协议安全认证子系统以及系统安全认证子系统构建丰富执行环境，所述丰富执行环境用于保证所述安全网关系统在对数据进行采集、传输、存储及上传时的安全性；
13.根据所述应用调度子系统、数据存储安全子系统、密钥管理子系统、协议可信应用ta以及系统管理可信应用ta构建可信执行环境，所述可信执行环境用于保证所述安全网关系统中应用程序在安全环境中运行。
14.在其中一实施例中，在所述安全网关系统上电后：
15.所述安全引导子系统启动基于pspa的安全固件pbf，并加载pbf二级固件进行验签，若验签失败，则系统启动失败，退出启动；
16.若pbf验签成功，则所述安全引导子系统加载u-boot三级固件进行解密及验签，若验签失败，则系统启动失败，退出启动；
17.若u-boot验签成功，则加载系统进行系统验签，并通过二次验签后确定所述安全网关系统为可信系统，并启动系统。
18.在其中一实施例中，在对加载系统进行系统验签时：
19.由所述安全网关系统镜像提供会话标识和镜像加密码，所述安全引导子系统先对会话标识进行验签，若验签失败，则系统启动失败，退出启动；
20.若所述会话标识成功，则所述安全引导子系统对镜像加密码进行解密后进行二次验签，若所述二次验签失败，则系统启动失败，退出启动；
21.若所述二次验签成功，则启动系统。
22.在其中一实施例中，当所述安全网关系统接收到设备接入请求时：
23.所述端口驱动安全子系统对所述设备的端口驱动文件进行解密，若解密失败，则拒绝所述接入请求；
24.若解密成功，则所述端口驱动安全子系统对所述端口驱动文件进行预加载，在预加载的过程中，对所述端口驱动文件的会话标识进行验证，若验证失败，则拒绝所述接入请求；
25.若验证成功，则所述端口驱动安全子系统对所述端口驱动文件进行加载，在加载完成后，对所述端口驱动文件的证书进行验签，若验签失败，则拒绝所述接入请求；
26.若验签成功，则所述端口驱动安全子系统对所述设备进行挂载，在挂载过程中，由所述系统安全认证子系统对所述设备的身份进行polkit的验签，若验签失败，则拒绝所述接入请求；
27.若验签成功，则所述设备挂载完成。
28.在其中一实施例中，当所述安全网关系统从可信云端下载协议后：
29.所述协议安全认证子系统对所述协议进行解密，若解密失败，则所述协议为非法协议；
30.若解密成功，则所述协议安全认证子系统对所述协议进行预加载，在预加载过程中，对所述协议的会话标识进行验签，若验签失败，则退出预加载；
31.若验签成功，则所述协议安全认证子系统对所述协议进行加载，并对所述协议的证书进行认证，若认证失败，则退出加载；
32.若认证成功，则所述协议自动与该协议的对端进行握手，并获取对端的身份信息，
由所述系统安全认证子系统对所述身份信息进行polkit的验签，若验签失败，则退出加载；
33.若验签成功，则所述协议加载成功。
34.在其中一实施例中，在所述安全网关系统接收到上位机发送的指令或参数，对其进行任务调度时：
35.所述应用调度子系统对所述指令或参数进行验签，若验签失败，则拒绝所述任务调度；
36.若验签成功，则所述协议可信应用ta调用相应的协议ta进行加载，在进行加载时对调用的协议ta的证书进行验签，若验签失败，则拒绝所述任务调度；
37.若验签成功，则所述系统管理可信应用ta调用相应的管理ta进行加载，在进行加载时对调用的管理ta的证书进行验签，若验签失败，则拒绝所述任务调度；
38.若验签成功，则实施所述任务调度。
39.在其中一实施例中，对所述安全网关系统进行管理时：
40.当采用本地安全配置工具对所述安全网关系统进行管理时，数据传输通过双向加密码ssh实现；
41.当采用本地web端或可信云端对所述安全网关系统进行管理时，数据传输通过双向加密码https实现。
42.在其中一实施例中，所述数据存储安全子系统用于对网关数据的安全存储，并将敏感数据进行加密后存储，所述敏感数据包括安全口令、秘钥、证书、会话标识以及隐私数据。
43.在其中一实施例中，在所述端口驱动安全子系统、协议安全认证子系统、系统安全认证子系统以及应用调度子系统进行解密时，均在所述密钥管理子系统中提取相应的秘钥，并利用密码加速引擎进行加速解密；
44.在所述数据存储安全子系统在对所述敏感数据进行加密时，利用所述密码加速引擎进行加速加密。
45.一种基于pspa架构的安全网关设备，包括主处理单元，以及与主处理单元连接的数据采集端口，数据远传端口以及系统管理端口；
46.所述主处理单元包括处理器、双内存模块、emmc存储模块以及电源模块，其中，所述处理器采用phytium e2000q、e2000d以及e2000s芯片中的任一一者，根据权利要求1-9任一项所述的基于pspa架构的安全网关系统搭载在所述处理器上。
47.上述基于pspa架构的安全网关系统及设备，通过由端口驱动安全子系统、协议安全认证子系统以及系统安全认证子系统构建丰富执行环境保证安全网关系统对数据在进行采集、传输、存储及上传时的安全性，同时，通过由数据存储安全子系统、密钥管理子系统、应用调度子系统、协议可信应用ta以及系统管理可信应用ta构建可信执行环境保证安全网关系统中应用程序在安全环境中运行，其次，还通过安全引导子系统保证安全网关系统的安全启动，本安全网关系统基于pspa架构，将可信执行环境和丰富执行环境，与网关端口和应用业务安全相结合，从端口和业务数据两个角度保障网关数据的安全性，以实现对数据从采集、处理、存储以及传输等各环节的安全性，提高网关系统的整体防护性。
附图说明
48.图1为一个实施例中基于pspa架构的安全网关系统及设备的结构示意图；
49.图2为一个实施例中安全网关系统实现安全可信的流程示意图；
50.图3为一个实施例中网关安全引导子系统实现安全启动的流程示意图；
51.图4为一个实施例中安全网关系统实现端口可信的流程示意图；
52.图5为一个实施例中安全网关系统实现协议可信的流程示意图；
53.图6为一个实施例中安全网关系统实现调度可信的流程示意图；
54.图7为一个实施例中安全网关系统实现管理可信的流程示意图。
具体实施方式
55.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
56.在一个实施例中，如图1所示，提供了一种基于pspa架构的安全网关系统，该包括：安全引导子系统、端口驱动安全子系统、协议安全认证子系统、数据存储安全子系统、密钥管理子系统、系统安全认证子系统、应用调度子系统、协议可信应用ta以及系统管理可信应用ta。
57.其中，安全引导子系统用于保证安全网关系统的安全启动。
58.并根据端口驱动安全子系统、协议安全认证子系统以及系统安全认证子系统构建丰富执行环境，该丰富执行环境用于保证安全网关系统在对数据进行采集、传输、存储及上传时的安全性。
59.还根据应用调度子系统、数据存储安全子系统、密钥管理子系统、协议可信应用ta以及系统管理可信应用ta构建可信执行环境，该可信执行环境用于保证所述安全网关系统中应用程序在安全环境中运行。
60.在本技术中，针对数据生命周期中的数据采集、处理和传输过程的安全问题，提出了一种基于国产化嵌入式芯片,在pspa(phytium security platform architecture,飞腾安全平台架构)架构的基于上，在网关的安全启动、tee安全运行环境(也就是可信执行环境)、ree端口安全(也就是丰富执行环境)、密码引擎和密钥管理、安全传输、安全存储各环境构建了一套网关的安全系统。该基于pspa架构的安全网关系统可应用于各行各业的物联网数据采集和传输环境中，且特别适应于各类不同协议的数据汇集与传输的网关场合。
61.在本实施例中，该安全网关系统搭载于一硬件网关设备，该设备包括主处理单元，以及与主处理单元连接的数据采集端口，数据远传端口以及系统管理端口。
62.具体的，主处理单元包括处理器、双内存模块、emmc存储模块以及电源模块，其中，处理器采用phytium e2000q、e2000d以及e2000s芯片中的任一一者，上述的基于pspa架构的安全网关系统搭载在处理器上。在本技术中，将各类接口抽象成端口与处理器构成的核心处理单相连接，为软件系统提供物理支撑。
63.可选的，处理器还可采用飞腾桌面级d2000进而ft2000系列芯片。
64.在本实施例中，处理器采用phytium e2000s芯片。
65.进一步的，主处理单元中的双内存模块用于对数据进行物理隔离。
66.在本实施例中，数据采集端口用于网关采集底层感知层数据。数据采集端口包括了总线端口和io端口。其中，总线端口包括工业主流的rs232、rs485、rs422、can、以太网、usb、pcie、usb、sdio等，这些总线端口为数据感知设备连接网关提供物理端口。其中，io端口为网关提供数字量状态数据采集。
67.为了实现不同信号、不同协议、不同类型的设备数据的汇集和处理，可选的，数据采集端口还可配置lora、wiota、zigbee、蓝牙、wifi和433mhz频段的无线传输模块。同时，当该安全网关系统应用于工业场景时，其端口需要带隔离。
68.在本实施例中，数据远传端口用于网关汇聚外远端传输。该端口通常需要具备上云传输功能，包物理端口包括以太网、4g/5g移动网络、工业wifi网络等，可实现数据上云传输。
69.在本实施例中，系统管理端口用于网关系统的管理、设置、供电等，同时，为网关安全系统的运行提供管理层面的支撑。
70.在上述硬件设备的物理支撑上，搭载包括安全引导子系统、端口驱动安全子系统、协议安全认证子系统、数据存储安全子系统、密钥管理子系统、系统安全认证子系统、应用调度子系统、协议可信应用ta以及系统管理可信应用ta的安全网关系统。
71.具体的，系统安全认证子系统用于构建tee-os系统可信执行环境，为基于系统的各级应用提供有效的安全认证。认证包括pam端口插拔认证、polkit安全身份认证等。系统安全认证子系统为网关安全系统提供一个基础的可信环境，保证基础的安全性。
72.具体的，端口驱动安全子系统为数据采集端口、数据远传端口和系统管理端口提供可信的驱动。每个端口的驱动文件都需要具备pspa加密码过的安全证书，所有端口的驱动及挂载必须通过端口驱动子系统的安全认证。
73.具体的，协议安全认证子系统负责网关上行、下行协议的安全认证。网关的上行协议为网关数据远端传输协议、下行协议为网关与数据感知层的协议，该协议需要通过加密安全证书和加密文件的双重认证。所有协议文件传输都必须使用芯片内部密码加速引擎进行计算，密钥必需通过密钥管理子系统的管理。协议需要部署在可信云端，通过加密码或vpn管道加密传输。协议认证包括加解密、会话标识验签、证书验签、握手设备身份验签等验证过程。
74.进一步的，网关协议包括感知层数据采集协议、远传输云端协议、系统管理协议三种类型。
75.具体的，丰富执行环境还包括密码加速引擎，用于实现各类密钥在e2000芯片中的密码运算功能，提升网关各种密码加解密的运算速度、以降低网关的功耗。该密码引擎可进行加速对称、非对称和哈希三类密钥的运算，并可以通过指令和api两种方面实现密码加速引擎的调用，具备两种独立物理随机源，产生动态密钥随机数。需要注意的是，所产生的秘钥等关键信息采用物理隔离与其他的网关数据进行隔离存储，并交流秘钥管理子系统管理。
76.具体的，数据存储安全子系统负责网关数据的安全存储，包据安全内存、非易失安全存储。其中，安全口令、密钥、证书、会话标识、隐私数据为敏感数据，该敏感数据都通过pspa密码加速引擎进行加密存储。并且，在对数据进行存储时，采取敏感数据与程序运行数据进行物理隔离存储，进一步加强数据存储的安全性。
77.具体的，密钥管理子系统用于安全网关系统的秘钥管理，包括密钥的生成、存储、访问、使用等。在本实施例中，密钥管理子系统与密码加速度引擎进行关联，实现密钥的加速运算。在密钥的存储方面，分厂商密钥和用户密钥，不同密钥采用不同存储方式。不同种类的密钥在不同生命周期状态下，具备不同的访问权限，只有特定生命周期状态下，才能读写特定的密钥。
78.具体的，应用调度安全子系统用于保障各类协议应用ta和系统管理ta的任务调度安全。所在协议和系统管理任务的调度必须通过应用调度子系统的安全认证，任务会话标识需加密传输。
79.具体的，协议可信应用ta是通过协议管理认证和系统安全认证后形成的基于上下行协议的一个或多个可信应用的集合，安全网关系统中可信协议应用ta通过应用调度安全子系统调度运行，实现数据采集汇聚集和传输。协议可信应用ta的运行数据在安全内存中运行。
80.进一步的，可信协议应用ta用于通过可信协议和可信端口连接可信设备，实现数据采集与汇聚集。每个可信协议应用ta可能接一种可信设备，按照协议对数据进行休采集。该可信协议应用ta还用于通过可信协议和可信端口连接可信云端，实现数据上传至服务。该可信云端可以是内部服务器网络。每个可信协议应用只能对应一种协议的服务，但可针对同一云端，支持多个协议上传。但协议和云端必须可信，否则网关将对非法应用进行销毁。
81.具体的，系统管理可信应用ta是通过系统安全认证子系统、应用调度安全子系统的安全认证的可信应用，认证包括会话标志、文件加密、安全证书三重安全保护，系统管理可信应用ta在安全内存中运行，其中，关键敏感数据通过安全存储子系统进行加密码存储。
82.进一步的，系统管理可信应用ta为运行在可信执行环境下的网关系统管理应用，用于通过系统管理接口对网关进行任务参数配置、采集参数管理、上传云端管理等。其所有管理ta必须是可信的安全的，否则网关将会对非法管理应用进行销毁。所有可信管理ta必须通过可信系统管理端口与外部连接，传输数据的协议必须是通过协议安全认证子系统验签过的可信协议，所有传输必须是加密传输。敏感数据，设置参数，任务调度指令必须通过数据存储系统验证，物理隔离存储。
83.在本实施例中，网关系统安全包括硬件安全可信和软件安全可信两个层次，从可信启动到构建丰富执行环境以及可信执行环境，再到构建网关端口可信、协议可信、安全调度和安全管理，实现网关数据的安全出入网关，其流程如图2所示。
84.在本实施例中，安全引导子系统主要用于tee-os可信系统的安全引导，包括可信根pbr，可信一级固件pbf和可信二级固件u-boot组成。
85.在安全网关系统上电后，利用安全引导子系统进行安全启动。安全引导子系统启动基于pspa的安全固件pbf，并加载pbf二级固件进行验签，若验签失败，则系统启动失败，退出启动。若pbf验签成功，则安全引导子系统加载u-boot三级固件进行解密及验签，若验签失败，则系统启动失败，退出启动。若u-boot验签成功，则加载系统进行系统验签，并通过二次验签后确定安全网关系统为可信系统，并启动系统。
86.进一步的，在对加载系统进行系统验签时：由安全网关系统镜像提供会话标识和镜像加密码，安全引导子系统先对会话标识进行验签，若验签失败，则系统启动失败，退出
启动。若会话标识成功，则安全引导子系统对镜像加密码进行解密后进行二次验签，若二次验签失败，则系统启动失败，退出启动。若二次验签成功，则启动系统。
87.具体的，网关安全引导子系统实现网关安全可信启动，在启动过程中建立一条基于逐级验签认证的可信传递链，可信传递链的源头是e2000芯片内部自带的原始可信固件pbr可信根。该pbr为e2000芯片的一级引导，由飞腾公司按照pspa架构开发而来，可以完全自可控并固化在boot rom中不能修改，流程如图3所示。
88.进一步的，网关的可信启动采用三级可信传递链机制实现。e2000芯片上电后，首先会启动片商基于pspa的安全固件pbr，该固件为可信启动的第一级引导，由于为国产厂商完全自主开发，具备根可信特性。在第一级引导运行后，将从网关安全系统的硬件存存储器中读取pbf二级固件并进行验签，如果pbf验签名失败，则启动失败退出。若pbf固件在通过验签后开始加载三级引导，完成三级引导u-boot加载后，将对原已加密的u-boot固件进行解密和验签。如果验签失败，则退出启动，如果验签成功则开始加载系统并能系统进行验签，系统镜像提供会话标签和镜像加密码，在系统验签时，先对会话标识进行验证，通过方可调用密码加速引擎进行解密码再次验签，只有两次验签都通过了才能正式启动系统，否则将会退出系统启动。通过验签的系统为基于飞腾原厂提供的可信系统tee-os。
89.在本实施例中，由端口驱动安全子系统、协议安全认证子系统以及系统安全认证子系统构建丰富执行环境对端口及协议进行安全验证，也就是对采集数据的设备是否为安全的，通过端口传输数据的协议是否为安全进行验证，同时，也是保证该网关系统进行数据采集以及传输时的安全性。
90.在本实施例中，当安全网关系统接收到设备接入请求时，也就是有新的设备需要接入安全网关系统的端口时，利用端口驱动安全子系统保证网关端口的可信，包括：端口驱动安全子系统对设备的端口驱动文件进行解密，若解密失败，则拒绝接入请求。若解密成功，则端口驱动安全子系统对端口驱动文件进行预加载，在预加载的过程中，对端口驱动文件的会话标识进行验证，若验证失败，则拒绝接入请求。若验证成功，则端口驱动安全子系统对端口驱动文件进行加载，在加载完成后，对端口驱动文件的证书进行验签，若验签失败，则拒绝接入请求。若验签成功，则端口驱动安全子系统对设备进行挂载，在挂载过程中，由系统安全认证子系统对设备的身份进行polkit的验签，若验签失败，则拒绝所述接入请求。若验签成功，则设备挂载完成。
91.具体的，网关端口可信用于保障接入网关的感知层设备、上传数据的云端接口及管理接口安全可信。对非法接入设备进行有效的拒绝和退出，保证网关外接设备的合法性。所有端口的驱动文件加载到网关内部都是加密文件。如图4所示，端口驱动安全子系统首先调用密码加速引擎以及密钥管理子系统对驱动文件进行解密码，只有通过解密码的驱动才能进行预加载，预加载过程中，需要对会话标识进行验证，只有验签通过后才能加载驱动，加载完成后还需要进行证书的验签，证书通过才开始允许挂载设备，设备挂载时，需要系统安全认证子系统对设备的身份进行polkit的验签，通过后设备才能挂载完成。该过程中只有一级验签末通过，就是退出端口加载。拒绝设备接入网关。该网关端口可信的实现需要调用网关安全系统中的系统安全认证子系统、端口驱动安全子系统、密码加速引擎、密钥管理子系统相互协调实现。
92.在本实施例中，当安全网关系统从可信云端下载协议后，采用协议安全认证子系
统实现网关协议可信，具体的，协议安全认证子系统对协议进行解密，若解密失败，则协议为非法协议。若解密成功，则协议安全认证子系统对协议进行预加载，在预加载过程中，对协议的会话标识进行验签，若验签失败，则退出预加载。若验签成功，则协议安全认证子系统对协议进行加载，并对协议的证书进行认证，若认证失败，则退出加载。若认证成功，则协议自动与该协议的对端进行握手，并获取对端的身份信息，由系统安全认证子系统对身份信息进行polkit的验签，若验签失败，则退出加载。若验签成功，则协议加载成功。
93.具体的，协议是网关实现不同接口、不同类加感知层设备接入和数据汇聚集，实现汇集后的数据上传不同云端的关键系统。网关中根据不同需求可通过上行端口与云端通信，获取对应的端口协议。为此网关协议的安全关乎到网关的数据安全。基于协议安全认证子系统实现网关协议安全可信的流程如图5所示。
94.进一步的，协议需要从网关指定的可信云端下载，下载的协议必须采用与端口不同的加密机制。下载完成协议后，需要调用网关的密码加速引擎以及密钥管理子系统进行解密，如果解密失败说明协议非法，退出。在解码成功后，需要对协议进行预加载，识别会话标识并给证，通过后方可完全加载协议并对协议的证书进行认证，通过后协议会自动与协议的对端进行握手，获取对端的身份信息，只有身份验证通过后才能完成整个协议的加载，过程中，如果有一级的验签末通过，将会退出协议加载并进行安全保护。网关协议可信的实现需要调用网关安全系统中的系统安全认证子系统、端口驱动安全子系统、密码加速引擎、密钥管理子系统、协议安全子系统相互协调实现。
95.在本实施例中，由应用调度子系统、协议可信应用ta以及系统管理可信应用ta构建可信执行环境实现对网关应用的安全调度以及安全管理。具体的，该可信执行环境用于为网关协议转换，数据存储、传输、系统管理提供可信的执行环境，保障数据安全可信。
96.在本实施例中，在安全网关系统接收到上位机发送的指令或参数，对其进行任务调度时：应用调度子系统对指令或参数进行验签，若验签失败，则拒绝所述任务调度。若验签成功，则协议可信应用ta调用相应的协议ta进行加载，在进行加载时对调用的协议ta的证书进行验签，若验签失败，则拒绝任务调度。若验签成功，则系统管理可信应用ta调用相应的管理ta进行加载，在进行加载时对调用的管理ta的证书进行验签，若验签失败，则拒绝任务调度。若验签成功，则实施任务调度。
97.具体的，网关应用安全调度是指网关在通过配置后，实现数据采集任务、数据的汇聚任务、数据的传输任务、数据存储任务和系统管理任务。可动态加载数据的边缘处理任务。应用安全调度系统根据系统管理的设置的参数指令调用对应的协议可信应用ta和系统管理可信应用ta实现网关数据传输功能。应用调度流程如图6所示。
98.进一步的，网关的任务调试是需要先行进行配置，任务是根据配置参数和指令自动生成的销毁。网关安全调度在接收到指令或参数时，先要对指令和参数进行验校，确定指令或参数安全，接着加载协议可信应用ta，协议可信应用ta会调用相应用的协议，由于协议在加载时已进行安全处理，为可信协议。但在加载协议应用ta时，也需要对协议应用ta的证书进行验签，验签通过后才能加载管理应用ta，同样也需要验签，只有验签成功能，才能实现任务调度运行，网关才能实现数据汇聚与传输。若验签字失败，则需要退出任务并销毁该任务。
99.在其中一实施例中，在管理ta前，可以添加边缘计算应用ta,边缘计算应用ta通过
验签后方可进行任务调试，实现任务管理。
100.在本实施例中，对安全网关系统进行管理时：当采用本地安全配置工具对安全网关系统进行管理时，数据传输通过双向加密码ssh实现。当采用本地web端或可信云端对安全网关系统进行管理时，数据传输通过双向加密码https实现，如图7所示。
101.在本实施例中，在端口驱动安全子系统、协议安全认证子系统、系统安全认证子系统以及应用调度子系统进行解密时，均在密钥管理子系统中提取相应的秘钥，并利用密码加速引擎进行加速解密。在数据存储安全子系统在对敏感数据进行加密时，利用密码加速引擎进行加速加密。
102.上述基于pspa架构的安全网关系统，基于国产e2000芯片实现，采用芯片pbr实现系统可信引导，从根本上防止的国外芯片rom固件的后门或漏洞，在pbr的基础的另外加入了两级引导认证，实现三级可信启动，为此在可信启动的安全性方面要远高于现有安全网关一级认证的安全。
103.本技术中的安全网关系统，提出了基于pspa，将可信执行环境tee和丰富执行环境ree与网关端口和应用业务安全相结合，实现业务数据和敏感数据有效隔离。从端口和业务数据两个角度保障网关数据的安全性，且实现敏感数据的隔离，安全系数更高，
104.本技术中的安全网关系统采用了芯片密码加速引擎和密钥管理相结合的方法实现网关数据的加密。基于pspa的密码加速引擎相对现有网关在计算速度和密码管理方面更具备优势，成本也会更低。
105.本技术中的安全网关系统基于密钥管理及密钥加速，将网关安全的防护扩展到内存、存储和传输环节，安全防护的涉及面更广，防护程序更高。
106.本技术中的安全网关系统旨在为数据生存周期的采集、处理和传输环节提供一套有效的基于国产芯片和pspa架构的安全网关系统及设备，可应用于工业、农业、环境、能源等各行业的数据汇集和安全传输，实现从源头保障数据安全。
107.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
108.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.基于pspa架构的安全网关系统，其特征在于，包括：安全引导子系统、端口驱动安全子系统、协议安全认证子系统、数据存储安全子系统、密钥管理子系统、系统安全认证子系统、应用调度子系统、协议可信应用ta以及系统管理可信应用ta；所述安全引导子系统，用于保证所述安全网关系统的安全启动；根据所述端口驱动安全子系统、协议安全认证子系统以及系统安全认证子系统构建丰富执行环境，所述丰富执行环境用于保证所述安全网关系统在对数据进行采集、传输、存储及上传时的安全性；根据所述应用调度子系统、数据存储安全子系统、密钥管理子系统、协议可信应用ta以及系统管理可信应用ta构建可信执行环境，所述可信执行环境用于保证所述安全网关系统中应用程序在安全环境中运行。2.权利要求1所述的安全网关系统，其特征在于，在所述安全网关系统上电后：所述安全引导子系统启动基于pspa的安全固件pbf，并加载pbf二级固件进行验签，若验签失败，则系统启动失败，退出启动；若pbf验签成功，则所述安全引导子系统加载u-boot三级固件进行解密及验签，若验签失败，则系统启动失败，退出启动；若u-boot验签成功，则加载系统进行系统验签，并通过二次验签后确定所述安全网关系统为可信系统，并启动系统。3.权利要求2所述的安全网关系统，其特征在于，在对加载系统进行系统验签时：由所述安全网关系统镜像提供会话标识和镜像加密码，所述安全引导子系统先对会话标识进行验签，若验签失败，则系统启动失败，退出启动；若所述会话标识成功，则所述安全引导子系统对镜像加密码进行解密后进行二次验签，若所述二次验签失败，则系统启动失败，退出启动；若所述二次验签成功，则启动系统。4.权利要求2所述的安全网关系统，其特征在于，当所述安全网关系统接收到设备接入请求时：所述端口驱动安全子系统对所述设备的端口驱动文件进行解密，若解密失败，则拒绝所述接入请求；若解密成功，则所述端口驱动安全子系统对所述端口驱动文件进行预加载，在预加载的过程中，对所述端口驱动文件的会话标识进行验证，若验证失败，则拒绝所述接入请求；若验证成功，则所述端口驱动安全子系统对所述端口驱动文件进行加载，在加载完成后，对所述端口驱动文件的证书进行验签，若验签失败，则拒绝所述接入请求；若验签成功，则所述端口驱动安全子系统对所述设备进行挂载，在挂载过程中，由所述系统安全认证子系统对所述设备的身份进行polkit的验签，若验签失败，则拒绝所述接入请求；若验签成功，则所述设备挂载完成。5.权利要求4所述的安全网关系统，其特征在于，当所述安全网关系统从可信云端下载协议后：所述协议安全认证子系统对所述协议进行解密，若解密失败，则所述协议为非法协议；若解密成功，则所述协议安全认证子系统对所述协议进行预加载，在预加载过程中，对
所述协议的会话标识进行验签，若验签失败，则退出预加载；若验签成功，则所述协议安全认证子系统对所述协议进行加载，并对所述协议的证书进行认证，若认证失败，则退出加载；若认证成功，则所述协议自动与该协议的对端进行握手，并获取对端的身份信息，由所述系统安全认证子系统对所述身份信息进行polkit的验签，若验签失败，则退出加载；若验签成功，则所述协议加载成功。6.权利要求5所述的安全网关系统，其特征在于，在所述安全网关系统接收到上位机发送的指令或参数，对其进行任务调度时：所述应用调度子系统对所述指令或参数进行验签，若验签失败，则拒绝所述任务调度；若验签成功，则所述协议可信应用ta调用相应的协议ta进行加载，在进行加载时对调用的协议ta的证书进行验签，若验签失败，则拒绝所述任务调度；若验签成功，则所述系统管理可信应用ta调用相应的管理ta进行加载，在进行加载时对调用的管理ta的证书进行验签，若验签失败，则拒绝所述任务调度；若验签成功，则实施所述任务调度。7.权利要求6所述的安全网关系统，其特征在于，对所述安全网关系统进行管理时：当采用本地安全配置工具对所述安全网关系统进行管理时，数据传输通过双向加密码ssh实现；当采用本地web端或可信云端对所述安全网关系统进行管理时，数据传输通过双向加密码https实现。8.权利要求7所述的安全网关系统，其特征在于，所述数据存储安全子系统用于对网关数据的安全存储，并将敏感数据进行加密后存储，所述敏感数据包括安全口令、秘钥、证书、会话标识以及隐私数据。9.权利要求8所述的安全网关系统，其特征在于，在所述端口驱动安全子系统、协议安全认证子系统、系统安全认证子系统以及应用调度子系统进行解密时，均在所述密钥管理子系统中提取相应的秘钥，并利用密码加速引擎进行加速解密；在所述数据存储安全子系统在对所述敏感数据进行加密时，利用所述密码加速引擎进行加速加密。10.基于pspa架构的安全网关设备，其特征在于，包括主处理单元，以及与主处理单元连接的数据采集端口，数据远传端口以及系统管理端口；所述主处理单元包括处理器、双内存模块、emmc存储模块以及电源模块，其中，所述处理器采用phytium e2000q、e2000d以及e2000s芯片中的任一一者，根据权利要求1-9任一项所述的基于pspa架构的安全网关系统搭载在所述处理器上。

技术总结
本申请涉及一种基于PSPA架构的安全网关系统及设备，通过由端口驱动安全子系统、协议安全认证子系统以及系统安全认证子系统构建丰富执行环境保证安全网关系统对网关数据进行保护，同时通过由数据存储安全子系统、密钥管理子系统、应用调度子系统、协议可信应用TA以及系统管理可信应用TA构建可信执行环境保证安全网关系统中应用程序在安全环境中运行，其次，还通过安全引导子系统保证安全网关系统的安全启动，本安全网关系统基于PSPA，将可信执行环境和丰富执行环境，与网关端口和应用业务安全相结合，从端口和业务数据两个角度保障网关数据的安全性，以实现对数据从采集、处理、存储以及传输等各环节的安全性，提高网关系统的整体防护性。的整体防护性。的整体防护性。


技术研发人员：田炜 蒋增文 盛四华 黄武 靖琦东 周秩辉 李刚锋 万里云 吴善
受保护的技术使用者：中电工业互联网有限公司
技术研发日：2023.04.23
技术公布日：2023/8/13